成熟的網(wǎng)絡(luò)風險計劃的核心支柱是衡量���、分析和報告網(wǎng)絡(luò)安全威脅和性能的能力���。話雖如此,衡量網(wǎng)絡(luò)安全并不容易�����。一方面��,企業(yè)領(lǐng)導(dǎo)者很難理解信息風險(因為他們通常沒有網(wǎng)絡(luò)安全背景);另一方面��,安全人員陷入了太多的技術(shù)細節(jié)����,最終導(dǎo)致混淆、誤解或誤導(dǎo)利益相關(guān)者���。
成熟的網(wǎng)絡(luò)風險計劃的核心支柱是衡量���、分析和報告網(wǎng)絡(luò)安全威脅和性能的能力����。話雖如此��,衡量網(wǎng)絡(luò)安全并不容易�。一方面,企業(yè)領(lǐng)導(dǎo)者很難理解信息風險(因為他們通常沒有網(wǎng)絡(luò)安全背景);另一方面���,安全人員陷入了太多的技術(shù)細節(jié)���,最終導(dǎo)致混淆、誤解或誤導(dǎo)利益相關(guān)者��。
在理想的情況下�����,網(wǎng)絡(luò)安全人員必須以企業(yè)高管能夠理解���、發(fā)現(xiàn)有用����、滿足好奇心并導(dǎo)致可操作結(jié)果的方式衡量和報告網(wǎng)絡(luò)安全。
在網(wǎng)絡(luò)安全方面可以衡量什么?
大多數(shù)利益相關(guān)者通常對風險�、合規(guī)性或保證存在疑問。不幸的是�����,這些問題通常無法使用單一數(shù)據(jù)點來回答����。幸運的是����,為了解決利益相關(guān)者的問題和擔憂,網(wǎng)絡(luò)安全人員可以衡量各種各樣的事情�,這些可大致分類為:
·控制:為應(yīng)對威脅和降低信息風險而采取的措施。
·資產(chǎn):企業(yè)擁有的任何有價值的物品��。
·漏洞:系統(tǒng)中可能被威脅利用的弱點���。
·威脅事件:由能夠?qū)Y產(chǎn)造成損害的威脅發(fā)起的行動�。
·安全事件:在中斷���、停機��、系統(tǒng)關(guān)閉��、數(shù)據(jù)泄露�、網(wǎng)絡(luò)釣魚、勒索軟件等方面成功影響業(yè)務(wù)的事件�����。
以上類別可以根據(jù)數(shù)量�����、時間或成本進一步細分��。例如����,通過數(shù)字可以衡量未打補丁的服務(wù)器的總數(shù)和百分比,未打補丁的服務(wù)器與所需基線和容量的比率����,或者可能修補的服務(wù)器數(shù)量。通過時間可以衡量識別事件所花費的時間�����,或者特定網(wǎng)絡(luò)威脅在一段時間內(nèi)發(fā)生的頻率。通過成本可以幫助企業(yè)從財務(wù)方面衡量事件的影響����、恢復(fù)成本以及由于停機造成的業(yè)務(wù)損失。
為什么要關(guān)注KPI?
網(wǎng)絡(luò)安全人員在向業(yè)務(wù)團隊報告時必須選擇最相關(guān)的指標�����。大多數(shù)網(wǎng)絡(luò)安全團隊專注于指標����,這些是與資產(chǎn)��、漏洞和威脅事件相關(guān)的基本指標���。另一方面�,執(zhí)行團隊關(guān)心關(guān)鍵績效指標(KPI)和關(guān)鍵風險指標(KRI)�,因為這些指標可以幫助回答與信息安全風險、運行狀況���、準備工作和業(yè)務(wù)優(yōu)先級相關(guān)的具體問題:
·企業(yè)的系統(tǒng)安全嗎?
·安全投資是否為企業(yè)帶來價值?
·從安全角度來看���,是否符合監(jiān)管義務(wù)?
·企業(yè)如何應(yīng)對勒索軟件攻擊或供應(yīng)鏈攻擊?
這些都是KPI和KRI幫助回答的問題類型,這就是為什么網(wǎng)絡(luò)安全人員必須專注于KPI和KRI的原因,衡量他們的安全性能�����、準備和有效性���。
安全團隊如何衡量網(wǎng)絡(luò)安全?
構(gòu)建正確的衡量框架是一個漸進的迭代過程�����,以下探索構(gòu)建安全衡量周期所涉及的五個主要步驟:
(1)定義需求
與利益相關(guān)者進行雙向?qū)υ?��,以定義和理解他們的需求。在開始時����,利益相關(guān)者并不總是對信息風險和他們自己的需求有很好的理解,因此需要一種更加自下而上的方法���,即安全人員衡量他們認為重要的內(nèi)容并向上報告����。安全從業(yè)人員可以利用這些對話自己提出探究性問題�����,制定必要的議程。
(2)選擇關(guān)鍵指標
一旦定義了利益相關(guān)者的需求����,網(wǎng)絡(luò)安全人員應(yīng)該確定并選擇有助于支持這些需求的關(guān)鍵指標,必須咨詢所有利益相關(guān)者����,并告知將在稍后階段提出的衡量標準。
關(guān)鍵指標應(yīng)使利益相關(guān)者能夠采取行動或做出決定���。這些關(guān)鍵指標應(yīng)處于較高水平,且數(shù)量較少���。其目標是幫助決策�����,而不是用數(shù)據(jù)來壓倒或混淆人們����。
(3)確定指標
在確定了企業(yè)的高層目標和指標之后�����,安全團隊現(xiàn)在必須專注于確定有助于報告這些指標的基本指標。根據(jù)指標的確切性質(zhì)�����,這可能涉及所需的幾十個指標��,涉及上述各種指標類別���。
(4)收集和分析指標��,計算關(guān)鍵指標
既然確定了需求��,選擇了關(guān)鍵指標并確定了衡量標準�����,網(wǎng)絡(luò)安全人員現(xiàn)在可以開始收集和分析基于這些關(guān)鍵指標的數(shù)據(jù)�����。衡量標準必須只使用準確�、及時��、相關(guān)和值得信賴的數(shù)據(jù)。否則���,企業(yè)高管可能會做出錯誤的決策��,在業(yè)務(wù)方面造成嚴重后果����。安全團隊必須找到在持續(xù)的基礎(chǔ)上收集這些數(shù)據(jù)的方法(大多數(shù)衡量需要查看隨時間變化的趨勢視圖)���,并且最好使該過程盡可能自動化(人工過程可能很累且耗時)����。
(5)向利益相關(guān)者報告關(guān)鍵指標
關(guān)鍵指標必須及時向決策者報告�����,安全人員和利益相關(guān)者應(yīng)該就節(jié)奏達成一致:報告需要多長時間提交一次?報告風格也必須達成一致�,因為不同的方法適合不同的利益相關(guān)者:是需要儀表板���,還是幻燈片演示?關(guān)鍵指標應(yīng)清晰可見����,易于理解。最后�����,報告應(yīng)該促進決策或行動��。
最后����,在每個報告周期之后,重要的是審查關(guān)鍵指標并與利益相關(guān)者重新驗證它們����。安全團隊和利益相關(guān)者必須問,所報告的指標是否仍然具有價值?是否需要更改某些內(nèi)容?如果業(yè)務(wù)需求確實發(fā)生了變化����,那么必須重新定義需求并分析不同的指標。
不要忘記�����,網(wǎng)絡(luò)威脅環(huán)境總是在變化�,因此安全也必須同步發(fā)展。企業(yè)���、利益相關(guān)者和網(wǎng)絡(luò)安全人員不應(yīng)該害怕倒退����。快速失敗����、繼續(xù)前進、即興發(fā)揮或重新規(guī)劃的能力是成功衡量網(wǎng)絡(luò)安全的關(guān)鍵���。
立即登錄�����,閱讀全文
閩公網(wǎng)安備 35010202001226號
